Probleme mit Treibersignierung



  • Moin,

    Ich habe einen Treiber mit INF-Datei, DLLs und SYS. Die DLLs und SYS' sind signiert. Auch eine passende CAT-Datei habe ich erstellt und signiert. Alles mit einem offiziellen Zertifikat dafür. Schau ich mir die DLLs, SYS' und CAT-Datei unter Windows an (Eigenschaften), dann wird auch angezeigt, dass alles korrekt signiert ist. Der Signaturpfad stimmt - alles, wie es sein soll.

    Installiere ich den Treiber nun unter Windows 7-64bit (Gerät dazu angesteckt), dann installiert er die Treiber, meint aber, die Signatur würde nicht stimmen. Wenn ich in die Treiberdetails (Geräte-Manager) gehe, zeigt er bei den DLLs und SYS an, die wären nicht signiert. Dementsprechend funktioniert auch der Treiber nicht.

    Mach ich das Ganze unter Windows 8.1-64bit wird der Treiber aber akzeptiert und als signiert angezeigt.

    Ich hab schon gesucht und probiert, aber ich weiß nicht, woran es liegen soll.

    Jemand ne Idee?



  • Vermutlich sind die .sys Files nicht für Treiber passend signiert - es wird das cross-certificate fehlen.
    driver signing cross certificate



  • Vielen Dank für die Antwort.

    Leider 😉 ist die SYS mit deinem Gegenzertifikat signiert. Wenn das nicht der Fall wäre, würde doch Windows 8 den Treiber auch nicht akzeptieren, oder?



  • Moin,

    ich denke, ich habe die Lösung. Unser Zertifikat von VeriSign/Symantec ist ein SHA2-Zertifikat. Laut Symantec kommt Windows 7 damit nicht klar.

    Ist natürlich schwach von Microsoft, dass die das nicht gebacken bekommen, immerhin ist ja SHA1 nicht mehr so wirklich sicher.

    Und auch irgendwie nicht schön von Symantec, dass die SHA2-Zertifikate ohne Warnung ausstellen, obwohl sie wissen, dass es Probleme gibt.

    seb



  • Krass.

    Und du hast vollkommen Recht. Wusste gar nicht dass es da wiedermal ein neues (für uns potentielles, für euch reales) Problem gibt.

    MS hat sogar schon angekündigt dass sie ab Jan 2016 keine Cross-Zertifikate mehr für Root-Zertifikate ausstellen werden die noch SHA-1 verwenden.
    https://technet.microsoft.com/library/security/2880823
    Da wäre es aber schön langsam Zeit dass MS mal nen Windows 7 Patch rausbringt, damit der Windows 7 Kernel solche Zertifikate auch frisst.
    Da wir aber noch nicht Jan 2016 haben, und es auch noch keinen solchen Windows 7 Patch zu geben scheint, hätte Symantec wohl auch besser das Zertifikat noch mit SHA-1 ausgestellt.

    Also ja, schwach von MS und schwach von Symantec!

    => Mit Symantec Kontakt aufnehmen und denen klar machen dass ihr ein Zertifikat braucht das auch von Windows 7 akzeptiert wird.


Log in to reply